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<§) Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem und zugehorige Vorrichtung 

(§) Elektronische Bremssystemo stellen oin sicherheitskri- 
tisches verteiltes Echtheitssystem dar, an das hohe Anfor- 
derungen bezuglich der Fehlererkennung und -behand- 
lung gestellt werden. 

Die Erfindung beschreibt ein Verfahren und eine zugeho- 
rige Vorrichtung zur Behandlung von Fehlern in derarti- 
gen Systemen, das nur wenige definierte Systemzuszan- 
de (1 bis 5) zulaGt, unter Einschluft eines Pre-Checks (1) f 
wobei der Ubergang von einem Systemzustand in den 
nachsten Zustand nur durch Eintreten ganz bestimmter 
definierter Ereignisse erfolgen kann. 
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Beschreibung 

Die Erfindung beziehl sich auf ein Verfahrcn zur Behand- 
lung von Fchlern in cinem elektronischen Bremssystem von 
Fahrzeugen. 5 

Die Erfindung beirifft fcrner einc Vorrichlung zur Bc- 
handlung von Fchlern in cineni elektronischen Bremssystem 
von Fahrzeugen, das mindeslcns cincn Zentralrechner zur 
Anstcuerung dcr Radbrcmscn abhangig von dein Brems- 
wunsch des Fahrcrs und dcm Bctricbszusland dcs Bremssy- io 
stems aufweist, dcr einen Error Handling ('ode fur die Fch- 
lcrbcarbeitung aufweist. 

Bremsanlagen fiir Kraft fahrzeugc werden i miner komple- 
xer. Das Antiblockiersyslem (ABS), die 'lVaction Control 
und Fahrzcugslabilisierungssyslemc beispielsweise verlan- 15 
gen individuelle Brcmscingriffe fur cinzclne Rader. Dcr 
Fahrcr nierkl dies beispielsweise durch das Pulsicren (Rub- 
bcln) dcs Brcmspcdais bci dcr ABS-Rcgclung, was vom 
Fahrer nicht immer als angenchm empfunden wird und zu 
Fehlreaktionen fiihren kana 20 

Abhilfe schafTteine mechanischc Enlkopplung von Rad- 
bremsbctaligung und Brcmspedal. Lctzicres sorgt iibcr ge- 
eigncte Scnsoren nur noch fur die Erfassung dcs Fahrer* 
Bremswunsches, der elektrisch an die Brcmsen wcitergclei- 
lel wird. Systeme, die eine derarlige Bnlkopplung aufwei- 25 
sen, sind als "Brakc-By-Wire-Systcme" bekann! geworden 
und sind beispielsweise in der DE-Z "ATZ Automobiltech- 
nische Zeitschrift 98 (1996) 6, Seitcn 328-333. in der US- 
5,230,549 und in der EP0 467 112 Bl beschricben. Die un- 
terste Ebene eines derartigen, typischerweise modular auf- 30 
gebauten Systems, bilden vier intelligente Radbrems-Mo- 
dule. Sic regeln ein gefordertes Radbremsmomenl radindi- 
viduell ein und stellen fur das Gesamtsystem sozusagen uni- 
verselle intelligente Aktuatoren dar. Sie bestehen aus eincm 
Microcontroller (Slave) fiir die Regelung, einem Servover- 35 
starker und der eigenllichen elektrouiechanischen Rad- 
bremse. Diese untcrste Ebene bildet das sogenannte Rad- 
bremsmanagement. 

Die mittlere Ebene ist fur das Bremsmanagement des Ge- 
samlfahrzeuges zustandig, beispielsweise fur eine situati- 40 
onsspezifische Verteilung der Brcmskrafte auf die einzelnen 
Radbrcmsen. Die Hardware dieser mittleren Ebene des 
Fahrzeugbremsenmanagements besteht aus einem zentralen 
Rcchner (Master), der typischerweise aus Griinden der Aus- 
fallsichcrheil durch einen zusatzlichen Rechner fur die Sy- 45 
stemkontrollc uberwacht wird. 

Die oberste Ebene eines derartigen Brake-by- wire-Sy- 
stems stellt die Schnittslelle zum Fahrer dar. Sie besteht ty- 
pischerweise aus der Nachbildung eines konventionellen 
Bremspedales mit redundant ausgefuhrter Sensorik zur Er- SO 
fassung des Fahrer-Bremswunsches und zusatzlichen Uber- 
wachungselementen, die verschiedene Fehlerzustande die- 
ses sogenannten Pedalmoduls anzeigen konnen. In dem Pc- 
dalmodul erfolgt. auch eine Vorverarbeilung der Sensorsi- 
gnale. Auch dieses Pedalmodul kann einen eigenen Micro- 55 
controller aufwei sen. 

Die einzelnen Ebcnen werden durch definiertc logischc 
Sennit Lstcllen und typischerweise iiber ein echtzeitfiiiiges 
Bussystcm. das vorzugsweise redundant ausgefuhrt ist.. da- 
tenmaBig miteinander verbunden und gcwahrleisten daher 60 
eine optima I e Modularitat des Systems, 

Beide Bussystcnte (bzw. ggf. auch nur ein Bussystem) 
konnen auch durch nornialc analoge Leitungen ersetzt wer- 
den. 

Als wcitcrc zentrale Komponcntc cincs modular aufgc- 65 
bauten Bremssystcms ist das Powenrtanagenient, die Ener- 
gievcrsorgung, zu nenncn. 

Das Brake-by-Wirc-Systcin slclll ein sicherheilskriii- 
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sches verteiltcs Echtzcitsystem dan an das hohe Anforde- 
rungen bczliglich dcr Fehlcrcrkennung und Fehlerbchand- 
lung gestcllt werden. 

Da dcr Fahrer keincn direklcn Durchgrin' auf die Bremse 
hat, muB das Bremssystem in jedem Fehlerfall mindestens 
eine Notfunktion aufrcchterhaltcn, was in bekannter Wcise 
durch eine fehlcr-akti ve, funktionelle Redundanz gewahrlei- 
stet wird. Weilerhin sollen die Systeme in bekannter Wcise 
eine leistungsfahigc On-Line-Diagnosc bcsilzcn, die auftre- 
lende Fehlcr auf jeden Fall crkcnnt, damil cine entsprc- 
chende Notfunktion aklivicrl und dcr Fahrcr gewarnt wer- 
den kann. 

Diese Forderungen haben cntschcidcnde Auswirkungen 
auf die Gestallung der Energicvcrsorgung, dcr zentralen 
Bremsregelung und auch der Wamstratcgie des eleklroni- 
schcn Bremssystems. 

Die Ausfallsicherheit dcr Energicversorgung wird in be- 
kannter Wcise (durch vorgenannte DE-Z) durch Einfuhrung 
eines Tandembordnetzes gewahrleistet. Bei Ausfall eines 
Teilsystems bleibl die Funktionsfahigkeit dcr im ausgefalle- 
nen Kreis gespeisten Komponentcn bedingt crhallcn. 

Fur einen sicheren Betrieb des Fahrzeugbremsenmanage- 
niets (Regel- und Konlrollfunktioncn) muB ein auftretender 
Fehlcr sowohl registricrt als auch dessen Quelle erkannt 
werden. Deshalb ist daher geiiiaB einer bekannten Strategic 
in jedem Falle eine iiber wachendc Einrichtung in dieser 
Ebene erforderlich. Das Hinzuzichen von Plausibilitatskrite- 
rien und geeigneten kontinuierlich ablaufenden Prtifrouti- 
nen innerhalb der Software stellen MaBnahmen dar, mit de- 
ren Hilfe Fehlerzustande lokalisiert und entsprechende Not- 
funktionen aktiviert werden. 

So ist es aus der zilierten DE-Z bekannt, die Uberprufung 
der Rechner des Systems (Master und Slaves) mit Hilfe ei- 
nes Kontrollrechners durchzufuhrcn. Dabei werden samtli- 
che Rechner mit den wichtigsten Daten (Fahrerbrems- 
wunsch, Fahrgeschwindigkeil, Brcmsmomente, etc.) ver- 
sorgt und konnen durch Plausibilitatsbclrachtungcn die Bc- 
rechnungen der anderen Rechner uberpriil'en. 

Bei Fehlfunktion des Masters oder des Kontrollrechners 
konnen die Slaves dies diagnostizieren und auf eine Not- 
funktion der Bremsaniage ohne Beteiligung des Masters 
umschalten. 

Fehlfunktionen eines Slaves konnen vom Master und 
Kontrollrechner erkannt werden. Dcr Slave kann dann still- 
gelegt werden und die Notfunktion der resllichen Radbrcm- 
scn wird nicht beeintrachtigl. 

Durch die DE 195 10 525 Al sind fcrner MaBnahmen be- 
kannt geworden, die die vorg. elektronischen Bremsanlagen 
mil. Blick auf mogliche Fehlerzustande im Bereich dcr 
Bremswunscherfassung verbessern. Fehlcrsignalc werden 
dabei iiber das Fahrzeugbrcmsenmanagement dem Rad- 
bremseninanagemcnl mitgeteilt, das radindividuelle MaB- 
nahmen veranlaBt. 

Die vorgenannten bekannten MaBnahmen gewahrleisten 
jedoch noch kein umfassendes optimiert.es Sicherheitskon- 
zept. 

Fur cin umfassendes Sichcrheitskonzcpl in dem entspre- 
chenden Fehlerbehandlungs-Systcm ist es nolwendig, sainl- 
liche Fehler des elektronischen Bremssystem zu erfassen 
und ihre Auswirkungen auf die jcwciligen Fahrsituationen 
zu beriicksichtigen. Bci Anwendung der bekannten Kon- 
zeple wiirdc dies dazu fuhren, eine Vielzahl von verschiede- 
nen Zustandcn des Bremssystems in die Sichcrhcitsbetrach- 
tungen cinschlieBen zu musscn, wodurch das System sehr 
kontplcx wiirdc. Jc komplcxcr jedoch das System aufgebaul 
ist, desio anfalliger wird es fur Fehler, die dann zu Ausfallen 
von Komponentcn dcs elektronischen Bremssystems fuhren 
konnen. Auch wird es schwierig, cine Rckonfiguration des 
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Bremssystems nach Auftrelen cincs Fehlcrs vor/unchmcn. 

Ferncr isi im bckannlcn Fall keinc syslematischc Stratc- 
gie in der Behandlung dcr Zuslandc beim Auflrelcn von 
Mehrfachfehlern gcgehen. 

Dcr Erfindung liegt die Aufgabe zugrundc, das cingangs 5 
bezeichncte Vcrfahrcn so zu fuhrcn bzw. die Vorrichtung so 
auszubauen, daB die Anzahl der verschicdcnen Zuslandc des 
clektronischen Bremssyslenis, in dencn sich das System bci 
der Fehlererfassung und -behandlung befindet. so klcin wic 
nioglich gehalten wcrden kann und die Zuslandc dabei ge- 10 
nau definiert sind. 

Die Losung diescr Aufgabe gclingt gcmaB dcr Erfindung 
fiir das Vcrfahrcn mil dem Schrilten: 

- Fesllegen und Definieren ciner kleinen Anzahl von 15 
cindeutigen technischen Bctricbszustanden des Brems- 
systems mil Vorgabe von bestimmten, dcfinicrien tech- 
nischen Ereignissen, die allein cincn Ubergang von ei- 
nem Betriebszustand in den nachsten Zustand bewir- 
ken, 20 

- Verkniipfen dcr technischen Betriebszustande mit 
zustandsspezifischen Sleuer-/RcgclmaBnahmen sowic 
WarnmaBnahincn fur den Fahrer des Fahrzeuges, und 

- Erfassen von Fehlern iin Brenissystem beim Start 
des Fahrzeuges durch einen Pre-Drive-Check und on- 25 
line beim BeLrieb des Fahrzeuges und Durchfiihren ci- 
ner entsprechend den Belriebszuslanden fehlerzu- 
standsabhangige Fehlerbehandlung. 

Hinsichtlich der Vorrichtung gelingt die Losung der Auf- 30 
gabe ausgehend von der eingangs bezeichneten Vorrichtung 
dadurch, daB 

eine kleine Zahl von eindeutigen technischen Be- 
triebszustanden des Bremssystems festgelegl und defi- 35 
niert ist, mit Vorgabe von bestimmten technischen Er- 
eignissen, die allein einen Ubergang von einem Be- 
triebszustand in den nachsten Zustand bewirken, 

- er die technischen Betriebszustande zustandsspezi- 
fisch mit Steuer-ZRegel-/ bzw. Warneinrichiungen fur 40 
den Fahrer verbindct, und 

- der Error Handling Code eine Pre-Drive-Check - 
Routine zur Erfassung von Fehlern im Bremssystem 
beim Start des Fahrzeuges und on-line beim Betrieb 
des Fahrzeuges aufweist, die entsprechend den Be- 45 
triebszustanden eine fehlerzustandsabhangige Fehler- 
behandlung durchfuhrt. 

Durch die erfindungsgemaBen MaBnahmen befindet sich 
das modular aufgebaule elektronische Bremssystem bei 50 
Auftrelen cines oder mehrerer Fehler immer in einem gen an 
definierten Zustand. Die Anzahl der verschiedenen Zu- 
standc ist dabei sehr klein, wodurch das System mil Vorteil 
nicht zu kornplex wird und daher maBgebend weniger fur 
Fehler anfailig wird, die zu Ausfallen von Systemkompo- 55 
nenten fuhren konnten. Durch die erfindungsgemaBen MaB- 
nahmen ist daher immer genau bekannl, in welchcm defi- 
nierten Zustand sich das System gerade befindet. Dadurch 
ist es ohne weileres moglich. eine Rekonfiguration des 
Bremssystems nach Auftrelen eines Fehlers vorzunchmen. 60 

Vorzugsweise werden auch unbenutztc Speicherplatze bei 
den Rechncrn RAMs, ROMS, usw. auf einen definierten 
Wert gesctzl, damit man auch insoweil zu jeder Zeit wciB, in 
welchem Zusland sich das System, auch scin Speichcrbe- 
rcich, sich befindet. 65 

Bci dcr Erfindung ertblgt ferner der Ubergang von einem 
definierten Zustand in den nachsten definierten Zustand nur 
durch Eintreten ganzbcstimmlcr definicrter Ercignisse. was 



A I 

4 

sich cbenfalls cnischcidcnd auf die Fchlersichcrhcii des Sv- 
stems auswirkt. 

Das erfindungsgemaBc Vcrfahrcn mil den definierten Sy- 
stemzustanden und den definierten Ubcrgangen kann so- 
wohl (vorzugsweise) fiir elektromcchanische Bremsanla- 
gen, aber auch gencrell fiir clektronisch untcrstuizie Brems- 
sy steme vcrwendet werden. 

Die Erfindung gewahrlcistcl somit eine fehlerzustandsab- 
hangige Fehlerbehandlung in einem Brake- by-Wire- Sy- 
stem. 

GcmaB ciner Wcilerbildung der Erfindung wird dieses 
Vcrfahrcn zur Behandlung von Fehlern in einem modular 
aufgebauten cicktronischcn Bremssyslcm mit nachfolgen- 
den Schrilten durchgefuhrt: 

- FcstJegen und Definieren einer kleinen Zahl von ein- 
deutigen technischen Betricbszustanden des bctreffen- 
den Moduls mil Vorgabe von bestimmten, definierten 
technischen Ereignissen, die allein einen Ubergang von 
einem Betriebszustand des Moduls in den nachsten Zu- 
stand bewirken, 

- Verkniipfen der technischen Betriebszustande des 
Moduls mil zustandsspezifischen Steuer-ZRegel- 
/Meldc- bzw. WarnmaBnahmcn, und 

- Erfassen von Fehlern in dem jeweiligen Modul beim 
Start des Fahrzeuges durch einen Pre-Drive-Check und 
on-line beim Betrieb des Fahrzeuges und Durchfiihren 
einer entsprechend dem Modul-Betriebszustanden feh- 
lerzustandsabhangige Fehlerbehandlung. 

Bei der zugehorigen Vorrichtung, die neben dem Zentral- 
rechner an Modulen autarke Unterrechner mit Error Hand- 
ling Codes aufweisl, sind die autarken Unterrechner so orga- 
nisiert, daB 

- eine kleine Zahl von eindeutigen technischen Bc- 
triebszustanden des jeweiligen Moduls festgelegl und 
definiert ist, mit Vorgabe von bestimmten technischen 
Ereignissen, die allein einen Obergang von einem Be- 
triebszustand in den nachsten Zustand bewirken, 

- sie die technischen Betriebszustande zustandsspezi- 
fisch mil Steuer-/Regcl-/ bzw. Wameinrichtungen fur 
den Fahrer verbinden, und 

- der Error Handling Code eine Pre-Drive-Check- 
Routine zur Erfassung von Fehlern im Bremssystem 
beim Start des Fahrzeuges und on-line beim Betrieb 
des Fahrzeuges aufweist und entsprechend den Bc- 
triebszustanden eine fehlerzustandsabhangige Fehler- 
behandlung durchfuhrt. 

Durch diesc Wcilerbildung der Erfindung wird somit an 
den bctreffenden Modulen eine Eigendiagnose* sozusagen 
eine moduli ntcrne Fehlerdiagnose, durchgefuhrt, was den 
Zentralrechner des Bremssystems wesentlich enllastet. 

Weitere Merkmalc und Vorteile der Erfindung ergeben 
sich anhand von in den Zeichnungen dargestellten Ausftih- 
rungsbcispielen. 

Es zeigen: 

Fig. 1 cin grundicgendes Zustandsdiagramm fiir ein Bra- 
keby- Wire-System mil definierten Ubcrgangen, 

Fig. 2 das Zustandsdiagramm des Brake-by-Wirc mil de- 
finierten Ubcrgangen fiir das gesamte Bremssystem, 

Fig. 3 das Zustandsdiagramm des Bremspedalmoduls mil 
dcfinicrien IJbergangcn, 

Fig. 4 das Zustandsdiagramm jewcils cincs Radmoduls 
mil definierten Ubcrgangen, und 

Fig. 5 das Zustandsdiagramm der Encrgievcrsorgung mit 
dcfinicrien Ubcrgangen, 
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Die Fig. 1 zcigt das erfindungsgcmaBc Zustandsdia- 
granim fur ein Brake-by- Wire-System mil ganz dehnierlen, 
wenigcn lechnischcn Syslemzuslandcn und mil clefiniericn 
technischen IJhcrgangen zwischcn den einzelnen Syslcnr/u- 
s I an den. 

Das Zustandsdiagramm nach Fig. 1 gilt dabei sowohl fur 
das Gesamtsystem als audi fur cntsprcchcnde Unler-Sy- 
stemc der einzelnen Module des Brake-by- Wire-Systems, 
wenn dieses gcmaB einer bevorzugtcn AusfUhrungsfonn so 
aufgcbaut isl, daB jedes Moduj mit einem eigenen Untcrsy- 
steni ausgcrustet isl, das eine Intclligenz aufweist, um aulark 
auch die Fehler in deni zugehorigen Modul zu erfasscn und 
darzustellen. Dadurch wird die zentralc Fehlcrbehandlung 
cntlastet und braucht sozusagen nicht den einzelnen Fehlcr 
in den Modulen "hinterhcrzugchcn". Sic crhalt viclmehr von 
dem autarken Untcr-System vollstandigc Statusmeldungen 
Uber den Fehlerzustand des beirclTenden Moduls. Die Fehlcr 
in den einzelnen Modulen werden dabei mil bekannten Mc- 
thoden online erfaBl. 

Fur das betrachtete Gesamtsystem, sowie die das Gesamt- 
system darsteliende Unler-Sysleme der Module sieht dieEr- 
findung vorzugsweisc folgende, maximal fiinf Zustande,die 
in Fig. 1 mil entsprechenden Bezugszeichen versehen sind, 
vor: 

1. Pre-Drive-System-Check (PSC) bzw. Pre-Drive- 
Module-Check (PMC), 

2. Bremssystem intakt, 

3. Fehlerzustand 1, 

4. Fehlerzustand 2 und 

5. Fehlerzustand 3, 

Die Ubergange zwischen den Zustanden 1 bis 5 sind mit 
den Pfeilen gekennzeichnet. Das Eintreten eines Ubergangs 
erfolgt nur, wenn die Ereignisse an den ttbergangen eintre- 
ten, wie sie an den Pfeilen in Fig. 1 beschrieben sind. 

Der Pre-Drive-System-Check bzw. die Pre-Drive-Mo- 
dule-Checks gemaB Zustand 1 beinhalten Testroutinen inil- 
tels eines Error-Handling Codes in den jeweiligen System- 
Rechnern, die beim Startcn des Fahrzeuges (Ziindung an) 
oder beim Betatigen des Bremspcdals (Bremslichtsc halter) 
erfolgen. Nach einer Diagnose entscheidet der Check, ob 
das Bremssystem und die einzelnen Module intakt sind, 
oder ob ein bestimmter Fehlerzustand vorhanden ist. Ent- 
sprechend dieser Diagnose gehen die Module bzw. das ge- 
samte Bremssystem gleich in den entsprechenden Zustand 2 
oder 3, 4, 5 iiber. Dieser Pre-Drivc-Check ist besondcrs bei 
einer Bremsanlagc vom Brake-by- Wire-Typ sinnvoll, da es 
sich hierbei um eine Fremdkraftbremsanlage ohne mechani- 
sche Ruckfallebcne handclt. Bei einem rein hydraulischen 
Bremssystem ist eine aktive Uberwachung und Diagnose 
nicht ohne weiteres zu realisieren. 

Bei dem Pre-Drive-System-Check konnen bei spiels weise 
durch einen Error Handling Code im Zentralrechner alle 
Bremsen kurz angesteuert und uberpriift werden, ob alle 
Sensorsignale und entsprechende Statu smeldungen vorhan- 
den sind, Als Alternative werden vor allem Module des 
Bremssystems und evt. von der Energievcrsorgung die Er- 
gebnisse der individucllen Pre-Drive-Module-Checks abge- 
fragt bzw. empfangen. Diese Funktionalitat kann vorzugs- 
weise im Zentralrechner implementicrt werden. Je nach dem 
Zustand des gesamten Bremssystem hat der Zentralrechner 
sofort die Moglichkeit entsprechende MaBnahmen zu er- 
greifen. Bei Ausfall eines Radmoduls kann die Bremskraft 
z. B. sofort ncu auf die noch intaktcn Module vcrtcilt wer- 
den. Insgcsamt kann die Funktionalitat des Bremssystems 
entsprcchend seinent aktuellen Zustand konfiguriert werden. 

Da die restlichcn Module ebenfalls im bevorzugtcn Fall 
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mindestens einen Rechncr besitzen, laufl auf diesen Modul- 
rechnern jeweils ein separater Error Handling Code. Die ge- 
samte Koordination dieser verschiedenen Error Handling 
Codes erfolgt vorzugsweisc durch den Zentralrechner bzw. 
5 in dem Modul, in dem auch der Error Handling Code nach 
Fig, 1 ablauft. Als bevorzugte Ausfuhrung hat jedes Modul 
einen eigenen Pre-Drivc-Modul-Check. Mit dieser jeweils 
scparaten Modul-Tcstroutinc wird beim Startcn des Fahr- 
zeuges (Ziindung an) oder beim Betatigen des Bremspedals 

10 (BremslichlschalJer) die Funktionsfahigkeit und der Zu- 
stand des Moduls uberpriift. 

Falls ein Modul keincn eigenen Rechner bzw. Elektronik 
hat, der den Prc-Drive-Modul-Check durchfuhrcn kann, so 
kann diese Testrouline von einem andcren Modul ubernom- 

15 men werden. 

Befindet sich das Bremssystem in einem Fehlerzustand, 
so wird dieser Zustand in einem Fehlerspeicher abgespei- 
chcrt, so daB das System beim nachstcn Prc-Brakc-Chcck 
sofort wieder in diesen Zustand iibergeht, sofern nicht noch 

20 ein neuer Fehlcr aufgetretcn ist, der dann das Bremssystem 
in einen anderen Fehlerzustand ubergehen laBt. Der Zustand 
"Bremssystem intakt" wird dadurch nach Auftreten eines 
Fehlers bei spiels weise erst dann wieder eingenornmen, 
wenn das Bremssystem repariert worden ist. 

25 Als Option bei dent Pre-Drive-System-Check bzw. dent 
Pre-Drive-Module-Checks kann eine Reset-Funktion fiir 
den Fehlerspeicher hinzugefugl werden. Falls wahrend des 
Betriebs des Bremssystems ein Fehler aufgetreten isl, so 
wird dieser zunachst in dem Fehlerspeicher abgespeichert, 

30 der entweder zentral oder ebenfalls modular in den einzel- 
nen Modulen realisierl werden kann. Beim nachsten Start 
des Fahrzeuges (Ziindung an) wird der (oder die) Fehler- 
speicher ausgelesen. Beinhaltet ein Fehlerspeicher den Feh- 
lerzustand 2 bzw. Fehlerzustand 3 (Systemzustand 4 oder 5), 

35 so wird zunachst dieser abgespeicherte Fehlerzustand nach 
den Checks eingenornmen. Liegt im Fehlerspeicher der Feh- 
lerzustand 2 vor und kommt ein weiterer Fehler bei den Prc- 
Drive-Checks hinzu, wird Fehlerzustand 3 eingenornmen. 
Hingegen kann bei abgespeichertem Fehlerzustand 1 (Sy- 

40 stemzustand 3) die Reset-Funktion eingefuhrt werden. Das 
heiBt, daB der Fehlerspeicher bei Fehlerzustand 1 geloscht 
werden kann, wenn bei den Pre- Drive-Checks kein Fehler 
aufgetreten ist. Falls der Fehlerzustand 1 die Ansteuerung 
einer zugehorigen Warnlampe beinhaltet, so besteht hier die 

45 Moglichkeit, diese Warnlampe nicht unnodg lang anzusteu- 
ern. 

Als Erweiterung des Fehlerspeichers kann die Anzahl des 
aufgetretenen 1. Fehlers mitgezahlt werden. Wenn eine ge- 
wisse, vorher defi nierle Mindestzahl dieser aufgetretenen 

50 Falle ( 1 . Fehler wahrend dem Betrieb und Reset bei den Pre- 
Drive-Checks) vorliegt, so kann die zugehorige Warnlampe 
angesteuert bleiben. 

Die Fehlerzustande nach Fig. i sind vorzugsweisc mit ei- 
ner festgelegten gestuften Wamstrategie verkniipfl, d. h. mit 

55 Wamstufen, die beim Erkennen verschiedener Fehler in dem 
elektronischen Bremssystem greifen sollten, d. h. mit einer 
bestimmten Ansteuerung verkniipft sind. In einem elektro- 
nischen Bremssystem konnen Fehlcr unterschicdlicher Kri- 
tikalilatenlstehen. Bei einem sich anbahnenden Totalausfall 

60 muB beispielsweise der Fahrer "gezwungen werden", das 
Fahrzeug mit geringer Geschwindigkeit, z. B. 30 km/h, aus 
dem Gefahrenbereich zu bringen und das Fahrzeug mit der 
Feslstellbremse sichcr abzustellcn. 

Es kennzeichnet der Fehlerz.ustand 1 (Systemzustand 3) 

65 das Auftreten cincs Fehlers, der nicht kritisch ist, wcil cr 
keinen wesentlichen EinfluB auf das Grund-Fahrverhalten 
hat und voile Grund-Bremssystemfunktion gewahrleistet; 
ein Bcispicl dafiir ist der Ausfall des ABS-Systems, 



DE 198 32 

7 

Diescm Fchlcrzustand 1 kann ein spczifischer, fllr den 
Fahrcr bestimmtes Signal, zugcordnct werden, bcispiels- 
wcisc cine gclbe Warnlampc. 

Dcr Fehlerzusland 2 (Systcmzustand 4) kcnnzcichnci das 
Auftreten cincs krilischcn Fehlers, der einen, wenn auch 5 
noch beherrschbarcn, EinfluB auf dicFahrdynamik hat. Bci- 
spiel: Ausfall eines Kreises (Batteric) bzw. eincr Brcrnse. 
Diescm Fehlcrzustand wird cncnfalls ein spezilisches Signal 
zugcordnct, beispiclswcise cine rote Warnlampc. 

Der Fehlerzusland 3 (Systemzustand 3) kcnnzcichnci das 10 
Auft.Fcf.cn cincs uberkrilischcn Fchlcrs, dcr EinfluB auf die 
Grundbrcmsfunklion hat, z. B. verringertc Leistungsfahig- 
keit der Radbrcirisc wegen geringem Spannkraftnivcau bzw. 
eines auBerst krilischcn Fehlers, der auf einen baJdigcn To- 
talausfall dcr Bremsanlage hindeutet, Beispiel: Ausfall bei- 15 
der Battcricn. Diescm Fehlerzusland wird eben falls ein spe- 
zifisches Signal zugeordnct, beispielsweise die rote Warn- 
lampc gcmaB dem Fchlcrzustand 2 in Vcrbindung mil dcr 
Erzeugung eines akkustischen Warnsignals und/oder Rcdu- 
zierung der maxinialen Geschwindigkeit des Fahrzeugcs auf 20 
einen fest eingestellten Wert, z. B. 50 km/h. Diese Gc- 
schwindigkeitsbegrenzung kann iiber eine Ansteuerung des 
E-Gas (bzw. Eingrififins Motormanagcment) erfolgen. Fer- 
ner isl cs denkbar, daB eine Zeitmessung mil verwendet 
wird. Je langer das System nicht reparierl wird, desto inehr 25 
wird die maximale Geschwindigkeit reduziert. Im einfach- 
sten Fall kann Fchlcrzustand 2 mit Fehlcrzustand 3 gleich- 
gesetzt werden und z. B. nur die rote Warnlampc ange-steu- 
ert werden, was allerdings fur die Warnlampenstrategie dem 
heutigen Stand dcr Technik enlsprechen wiirde. 30 

Es wurde bereits dargestellt, daB zweckmaBig jeder Mo- 
dul ein eigenes Rcchnersystem besitzt, in dem jeweils eine 
zugeordnete Fehlerroutine implementiert isl. Die Zustands- 
diagramme der einzelnen Module sind gleichartig zu dem 
des Systems nach Fig. 1 in den Fig. 2 bis 6 dargestellt und 35 
zeigen die einzelnen Zustande und die zugehdrigen Uber- 
gange. 

Die Fig. 2 zeigt das Zustandsdiagramm fur das gesamte 
Bremssystem. Der Pre-Braking-Check des Zustandes kann 
hier mit dem Pre-System-Check des Zustandes 1 in Fig. 1 40 
gleichgesetzt werden. Die verschiedenen Zustande und 
Ubergange in Fig. 2, die denen der Fig. 1 entsprechen, wer- 
den vorzugsweise im Zcntralrechner des elektronischen 
Bremssystems implementiert. Diese Funktionalitat wird als 
"Error-Handling Code Zentral-rechner" bezeichnet . 45 

Das Zustandsdiagramm fur den Bremspedalmodul isl in 
Fig. 3 dargestellt. 

Bei dem Bremspedalmodul beinhaltet der Pre-Pedal- 
Check des Zustandes 1 mindeslens eine Oberprufung der 
Pedalsensorik und soweit moglich, einen Funktionstest der 50 
Auswerteelektronik fiir die Fahrerwunschgenerierung der 
Pcdal-Elcktronik und den Busanschliissen. 

Im ubrigen entspricht das Zustandsdiagramm demjenigen 
nach Fig. 1. 

Das Zustandsdiagramm fur jedes Radmodul ist in Fig. 4 55 
dargestellt. Jedes Radmodul uberpriift bei seinem eigenen 
Pre-Radmodul-Check (Zustand 1), ob z. B. im Fall eincr 
elcktronischen Brenisc der Elektromotor angesteuert wer- 
den kann, die Bremsbelage bewegt werden konnen und die 
Radmodulsensorik eine plausible Reaktion auf die Anregun- 60 
gen des Pre-Modul-Checks geben. Prinzipiell wird die Elek- 
tronik, Mcchanik und Scnsorik des Radmoduls so umfang- 
reich wic moglich auf die Funklions-tuchligkeil hin uber- 
pruft werden. Das Zuslandsdiagramm fiir das Radmodul 
cnthalt, wic die Fig. 4 crkennen laBt, nicht den Fchlcrzu- 65 
stand 2 und den Fehlerzustand 3, da auch bei Auftreten von 
mindeslens zwei Fehlem innerhalb eines Radmoduls nur die 
gelbe Warnlampc angesteuert wird, wenn kein weitcrer Feh- 
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ler innerhalb des gesamten Bremssystems aufiriu. 

Das Zustandsdiagramm fiir das B ussy stem ist in Fig. 5 
dargestellt. 

Beim Bussyslem wird als eine bevor/.ugtc Ausfuhrung- 
form davon ausgegangen, daB das Bussysteni redundant 
aufgebaul ist und zwei Bussystemc beinhaltet. Bei Ausfall 
eines Bussystems wurde der Ausfall des zweitcn Bussy- 
stcms zu cinem Totalausfall des gesamten Bremssystems 
fUhrcn. Deshalb muB dann sofort in den Fehlcrzustand 1 
(Zustand 3) ubergegangen werden. 

Der Zustand 4 entfallt dahcr bei der Fehlcrstratcgic fiir 
das Bussyslem. 

Der Pre-Bus-Check (Zustand 1) beinhaltet im wesentli- 
chen eine Uberprufung, ob iiber das redundante Bussystem 
allc Teilnehmer angesprochen werden konnen und diese ein 
"Lebenszeichcn" in Fonn einer Antwortnachricht geben. 

Dieser PVe-Bus-Chcck kann auch von einem anderen Mo- 
dul durchgcfiihrt werden. d. h. cs wird dann kcin cigener 
Mikrocontroller fiir das Bussystem benotigt. 

Das Zuslandsdiagramm fiir die Energieversorgung des 
Bremssystems gema'B Fig. 6 nimmt eine gesondcrtc Stel- 
lung ein, da die Energieversorgung Bestandteil des Brems- 
systems ist. Eine redundant aufgebaute Energieversorgung 
kann beispielsweise im Fahrzcug generell den elektrische 
Fahrzeugaggregalen und somil auch dem Bremssystem zur 
Verfugung stehen. Das heiBt, die Schnittstelle zwischen dcr 
Energieversorgung und dem Bremssystem kann beispiels- 
weise durch zwei separate Versorgungsleitungen realisierl 
sein. DerPre-Power-Check (Zustand 1 in Fig. 6) konnte sich 
dann beispielsweise auf eine Uberprufung der fur das 
Bremssystem notwendigen Batterie-spannungsversorgung 
beschranken. In einer erweilerten Form werden zusalzlich 
die Ladezustande der Batterien uberpriift, ob diese noch aus- 
rcichend fiir das Bremssystem sind. 

Eine bevorzugte Realisierungsform der Energieversor- 
gung hat nach Auftreten eines ersten Fehlers (z. B. Ausfall 
des Generators) den Ubcrgang in Fehlerzustand 1 (Zustand 
3) und Ansteuerung der gelben Warnlampe zur Folge. In 
diesem Zustand muB der Batterieladezu stand beider Batte- 
rien slandig uberwacht werden. Wenn ein gewisser Mindesl- 
energiegehalt einer Batterie unterschritten wird, ist in den 
Fehlerzustand 3 zu wechscln. 

Die in den Fig. 2 bis 6 dargestellten Zustandsdiagramme 
sind bevorzugte Ausfiihrungsbeispiele. 

Prinzipiell kann ein einziges Modul die Funktionalitat 
und Koordi nation aller Module ubernehmen. Dann ist dieses 
Modul vorzugsweise fehlertolerant aufgebaul, damit eine 
Mehrheitsentscheidung im Fehlcrfall moglich ist. Somil 
konnen in einer vereinfachten Ausfuhrungsform alle Pre- 
Modulc-Checks und der Pre-System-Check in einem einzi- 
gen Modul erfolgen, beispielsweise dem des Zentralrechner. 
Fehlertolerant heiBt, daB bei Auftreten eines Einfachfehlers 
in einem redundanten System der fehlerhafte Zweig durch 
eine Mehrheits-Entschcidungs-Logik erkannt wird, so daB 
der weiterhin funktionsfahige Zweig die Systemfahigkeit 
aufrechterhalt, wodurch der crkannte Einfachfehler "tole- 
riert M werden kann. 

Fiir die [Coordination der Ubergange zwischen den einzel- 
nen Zustanden gibt es folgende bevorzugte Ausfiihrungs- 
form: 

Jedes Modul macht seine eigenc Koordi nation. Minde- 
slens ein Modul macht die Koordi nation fiir das gesamte Sy- 
stem. 

Die Ansteuerung dcr Warncinrichtungen kann auf fol- 
gende Artcn erfolgen: 

1. Ein fchlertolcranles Modul ubcrnimml diese Auf- 
gabe, das heiBt, auch bei Eintreten eines Fehlers inner- 



^tlCHNUNtitN bbllt 1 



iNummer: 
Int. CI. 6 : 

Offenlegungstag: 



l/t ISftt J* 99UH I 

B60T 1^66 

12. August 1999 




902 032/594 



ZEICHNUNGEN SEITE 2 



Nummer: 
Int. CI. 6 : 

Offenlegungstag: 



DE198 32 950 A1 
B60T 13/66 

12. August 1999 



FIG. 3 




FIG. 4 




902 032/594 



ZhlCMNUNCitN Shi 1 1 '6 



summer: 



Int. CI. 6 : 

Offenlegungstag: 



UC ISO SOU H I 

B60T 13/66 

12. August 1999 



FIG. 5 




FIG. 6 




902 032/594 



